Volexity 的網絡安全研究人員最近報告稱,一名與中國政府相關的威脅行為者利用 Fortinet 的 Windows VPN 客戶端 FortiClient 中未修補的零日漏洞,直接從內存中竊取敏感的 VPN 憑證。
“BrazenBamboo”是疑似中國國家支持的威脅行為者,被認為開發了“DEEPDATA”,這是一種針對 Windows 操作系統的模塊化後利用惡意軟件,可以提取憑據、錄製音頻並從各種應用程序收集信息。
Volexity 還追踪 BrazenBamboo 作為其他惡意軟件系列(例如 LIGHTSPY 和 DEEPPOST)的開發者。然而,該公司補充說,它不一定將它們與使用它們的運營商聯繫起來,因為可能有多個用戶。
在分析 DEEPDATA 惡意軟件家族期間,安全研究人員發現該惡意軟件的專用 FortiClient 插件通過提取敏感憑據(例如存儲在 FortiClient VPN 客戶端進程內存中的 JSON 對像中的用戶名、密碼、遠程網關和端口)來利用該漏洞。
據網絡安全專家稱,DEEPDATA 框架依賴於核心動態鏈接庫 (DLL) 組件“data.dll”,該組件旨在通過名為“frame.dll”的插件執行編排器解密並執行多達 12 個獨特的插件。
這些插件中有一個新識別的“FortiClient”DLL,能夠從 FortiClient VPN 進程的進程內存中提取憑據和服務器信息。
“Volexity 發現 FortiClient 插件是通過文件名為 msenvico.dll 的庫包含的。該插件被發現利用 Windows 上 Fortinet VPN 客戶端中的零日漏洞,使其能夠從客戶端進程的內存中提取用戶的憑據,”安全研究人員 Callum Roxan、Charlie Gardner 和 Paul Rascagneres寫了在周五的技術博客文章中。
該插件所採用的技術類似於 2016 年發現的類似漏洞,其中可以根據硬編碼偏移在內存中發現憑證。
然而,Volexity 確認 2024 漏洞是新漏洞,存在於 FortiClient 版本 7.4.0 中,該版本是發現該漏洞時的最新版本。
該網絡安全公司於 2024 年 7 月 18 日向 Fortinet 報告了憑證洩露漏洞,並於 2024 年 7 月 24 日得到承認。但是,該問題迄今為止仍未修補,也沒有為其分配 CVE。
“Volexity 的分析提供的證據表明,BrazenBamboo 是一個資源豐富的威脅參與者,其保持多平台能力並具有較長的運營壽命。其能力的廣度和成熟度表明了強大的開發功能和驅動開發輸出的運營需求,”該網絡安全公司指出。
除了 DEEPDATA 之外,BrazenBamboo 還開發了 DEEPPOST,這是一種利用後數據洩露工具,用於使用 HTTPS 將文件發送到遠程系統。
DEEPDATA 和 DEEPPOST 以及 LIGHTSPY(一個已知針對多個操作系統(包括 iOS 和 Windows)的多平台惡意軟件系列)展示了威脅參與者先進而強大的網絡間諜能力以及對未修補的系統和敏感用戶數據構成的風險。
在 Fortinet 正式承認所報告的漏洞並推出安全補丁之前,建議限制 VPN 訪問並監控登錄活動是否存在任何違規行為。
我們鼓勵依賴 Fortinet 解決方案的組織保持警惕,因為如果被利用,該缺陷可能會暴露敏感憑證。
![Facebook 鎖定個人資料未顯示? [ 固定的 ]](https://webbedxp.com/tech/kourtney/wp-content/uploads/2024/10/Lock-Profile.jpg)
